【安全资讯】FBI警报：Cuba勒索软件团伙破坏了美国49个关键基础设施组织

引言

12月2日，美国联邦调查局(FBI)发布警报称，截至2021年11月初，Cuba勒索软件团伙已破坏了美国关键基础设施部门的至少49个组织的网络，提出了至少7400万美元的赎金要求，且成功获取了4390万美元的赎金。

简况

FBI表示，已受到攻击的部门包括金融、政府、医疗保健、制造业和信息技术部门。勒索软件通过 Hancitor 恶意软件下载器在受害者的网络上传播。Hancitor可以提供信息窃取程序、远程访问木马 (RAT) 和其他类型的勒索软件，使用网络钓鱼邮件、被盗凭据、微软Exchange漏洞或RDP来获得对Windows系统的访问，从而远程部署勒索软件负载并使用“.cuba”扩展名加密文件。

此外，Cuba勒索软件攻击者使用 MimiKatz 恶意软件窃取凭据，然后使用 RDP 以特定用户帐户登录受感染的网络主机。RDP 连接完成后，攻击者使用 CobaltStrike 服务器与受感染的用户帐户通信。最初的一个 PowerShell 脚本函数会分配内存空间来运行 base64 编码的有效负载。此有效负载加载到内存中后，可用于访问远程命令和控制 (C2) 服务器，然后部署勒索软件的下一阶段文件。

总结

被Cuba勒索软件团伙攻击的受害者数量并不多，但该组织至少赚了4390万美元，可想而知其他勒索团伙的收入会更高，这表明勒索软件能给犯罪团伙带来巨大收入。